Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

YADIFA < 2.2.6 Betroffene Plattformen: Red Hat Fedora 27 Extra Packages for Red Hat Enterprise Linux 7 Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in der Verarbeitungskomponente für DNS-Pakete ausnutzen, um eine Endlosschleife auszulösen und den Server so in einen Denial-of-Service (DoS)-Zustand zu versetzen. Für Fedora 27 und Fedora EPEL 7 steht YADIFA in der Version 2.2.6 als Sicherheitsupdate im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2017-4f2fbc84d9 (Fedora 27, yadifa-2.2.6-1) https://bodhi.fedoraproject.org/updates/FEDORA-2017-4f2fbc84d9

Patch:

Fedora Security Update FEDORA-EPEL-2017-0f92580f68 (Fedora EPEL 7,
yadifa-2.2.6-1)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-0f92580f68

CVE-2017-14339: Schwachstelle in YADIFA ermöglicht Denial-of-Service-Angriff

Die Komponente zur Verarbeitung von DNS-Paketen in YADIFA prüft nicht, ob
Zeiger (Pointer) eine Endlosschleife bilden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1718/

Schwachstelle CVE-2017-14339 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-14339

Fedora Security Update FEDORA-2017-4f2fbc84d9 (Fedora 27, yadifa-2.2.6-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-4f2fbc84d9

Fedora Security Update FEDORA-EPEL-2017-0f92580f68 (Fedora EPEL 7,
yadifa-2.2.6-1):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-0f92580f68

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.